ドメイン参加時に次のメッセージが表示されて、失敗することがある。
ドメイン “ドメイン名” に参加中に次のエラーが発生しました:
同じ名前のアカウントが Active Directory に存在します。
アカウントの再利用はセキュリティ ポリシーによってブロックされました。
または
ドメインに参加できません。詳しくは、IT 管理者に問い合わせてください。
原因は、2022年10月リリースの更新プログラムによる仕様変更。
コンピューターオブジェクトの作成者(所有者)と、ドメイン参加操作の実行者が異なると、ドメイン参加に失敗する。
KB5020276 – Netjoin: ドメイン参加のセキュリティ強化の変更
https://support.microsoft.com/ja-jp/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8
対策は5つ。重ねて実施可。
1. コンピューターオブジェクトの作成者(所有者)でドメイン参加操作を実行する。
2. ドメイン参加操作の実行者でコンピューターオブジェクトを作る。
3. コンピューターオブジェクトの所有者をドメイン参加操作の実行者に変える。
例:Dsacls <Computer DN> /TakeOwnership
4. レジストリを操作してセキュリティ強化前の状態にする。
キーのパス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
値の名前:NetJoinLegacyAccountReuse
データ型:REG_DWORD
設定値:1 (強化前) ※新方式は 2
5. 更新プログラムをアンインストールする。